分析校園網建設

［摘 要］本文對VPN，VPN的工作原理及實現VPN的關鍵技術——隧道技術進行了闡述，結合學校校園網的VPN實際解決方案，對VPN的配置及應用做了相應的描述。文章介紹了校園網的網絡拓撲，在網絡核心設備Cisco6513上的VPN配置，并描述了VPN在防火墻上的配置，以及VPN在我校校園網中的實際應用。文章重點介紹VPN如何在核心設備上進行配置，配置時的注意事項，技術特點，技術難點等問題。

［關鍵詞］虛擬專用網絡 隧道技術 數據加密 VPN

［中圖分類號］TP ［文獻標識碼］A ［文章編號］1009－5489(2008)05－0166－02

在傳統的組網方案中，如果要進行LAN之間的遠程互連，除了租用較高速率的DDN專線或幀中繼之外，并沒有更好地解決方法。而對于流動用戶及遠端客戶與企業網的遠端接入來說，傳統的方法是以撥號線路撥入企業網所使用的各自獨立的接入設備。這對一些連網距離比較遠的單位來說，產生了不可避免的高額租用費。然而，VPN的解決方法正好能克服上述問題，并以自身的優勢為廣大的網絡用戶提供服務。

一、VPN基本概念

VPN是建立在實際網絡(或稱物理網絡)基礎上的一種功能性網絡，是一種專用網的組網方式，它向使用者提供一般專用網所具有的功能，但本身卻不是一個獨立的物理網絡。所以，可以說它是一種邏輯上的專用網絡，也就是說VPN依靠網絡服務供應商，將企業的內部網與公共網絡建立連接，在公用網絡中建立起內部網絡間的專用數據傳輸通道(隧道)，而這類專用通道并非真實的物理專用線路，只是在現有的公用網絡中臨時搭建的，因而它又是一種虛擬專用網。

事實上，VPN的效果相當于在Internet上形成一條專用線路(隧道)，從作用的效果看，VPN與IP電話類似，但VPN對于數據加密的要求更高。VPN由三個部分組成：隧道技術，數據加密和用戶認證。隧道技術定義數據的封裝形式，并利用IP協議以安全方式在Internet上傳送。數據加密和用戶認證則包含安全性的兩個方面：數據加密保證敏感數據不會被盜取，用戶認證則保證未獲認證的用戶無法訪問內部網絡。

二、VPN工作原理

VPN實現的關鍵技術是隧道，而隧道又是靠隧道協議來實現數據封裝的。在第二層實現數據封裝的協議稱為第二層隧道協議，同樣在第三層實現數據封裝的協議叫第三層隧道協議。VPN將企業網的數據封裝在隧道中，通過公網Internet進行傳輸。因此，VPN技術的復雜性首先建立在隧道協議復雜性的基礎之上。隧道協議中最為典型的有IPSEC、L2TP、PPTP等。其中IPSEC屬于第三層隧道協議，L2TP、PPTP屬于第二層隧道協議。第二層隧道和第三層隧道的本質區別在于用戶的IP數據包是被封裝在哪種數據包中在隧道中傳輸。VPN系統使分散布局的專用網絡架構在公共網絡上安全通信。它采用復雜的算法來加密傳輸的信息，使敏感的數據不會被竊聽。

(1)第二層隧道協議

L2TP是從Cisco主導的第二層向前傳送和Microsoft主導的點到點隧道協議的基礎上演變而來的，它定義了利用公網設施(如IP網絡，ATM和幀中繼網絡)封裝傳輸鏈路層點到點協議幀的方法。目前，Internet中的撥號網絡只支持IP協議，而且必須注冊IP地址；而L2TP可以讓撥號用戶支持多種協議，并且可以保留網絡地址，包括保留IP地址。利用L2TP提供的撥號虛擬專用網服務對用戶和服務提供商都很有意義，它能夠讓更多的用戶共享撥號接入和骨干IP網絡設施，為撥號用戶節省長途通信費用。同時，由于L2TP支持多種網絡協議，用戶在非IP網絡和應用上的投資不至于浪費。

(2)第三層隧道協議

IPSec是將幾種安全技術結合在一起形成的一個較完整的體系，它可以保證IP數據包的私有性、完整性和真實性。IPSec使用了Diffie-Hellman密鑰交換技術，用于數字簽名的非對稱加密算法、加密用戶數據的大數據量加密算法、用于保證數據包的真實性和完整性的帶密鑰的安全哈希算法、以及身份認證和密鑰發放的認證技術等安全手段。IPSec協議定義了如何在IP數據包中增加字段來保證其完整性、私有性和真實性，這些協議還規定了如何加密數據包：Internet密鑰交換協議用于在兩個通信實體之間建立安全聯盟和交換密鑰。IPSec定義了兩個新的數據包頭增加到IP包上，這些數據包頭用于保證IP數據包的安全性。這兩個數據包頭是認證包頭和安全荷載封裝。其中IP數據包的完整性和認證由IPSec認證包頭協議來完成，數據的加密性則由安全荷載封裝協議來實現。

三、校園網VPN解決方案

如果學校有兩個校區：老校區和新校區，兩個校區之間通過新校區的Cisco6513和老校區Cisco6509萬兆相連，Cisco6513又與邊界出口Cisco6503相連，具有四條通道：計費網關，VPN，兩條Trunk通道。

因為Cisco6513為我校校園網核心交換，因此我們選擇CISCO VPN模塊安裝在Cisco6513上。

在Cisco6513上的VPN配置如下：

以下是啟動aaa，打開radius服務器上的用戶認證，打開cisco組用戶的本地授權的配置

aaa new-model

aaa authentication login default group radius local

aaa authorization network cisco local

以下是為遠端VPN用戶定義crypto策略，使用3des加密、共享密鑰和用group2產生密鑰的配置

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

以下是創建組驗證的用戶名和密碼，分配DNS地址，指定要分配給VPN用戶的地址池以及允VPN用戶所能訪問的IP范圍的配置

crypto isakmp invalid-spi-recovery

crypto isakmp keepalive 10

crypto isakmp nat keepalive 15

crypto isakmp xauth timeout 45

crypto isakmp client configuration group cisco

key cisco

dns 202.195.128.10 202.195.128.16

pool remote-pool

acl 101

以下是定義crypto的transform屬性的配置

crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac

以下是定義crypto的動態map的配置

crypto dynamic-map dynmap 1

set transform-set transform-1 

創建一個合成的map，將合成map綁定到端口上的配置

等其他設置

四、VPN在校園網中的實際應用

VPN主要應用于校園網網絡設備的遠程管理以及校外用戶訪問校內網絡資源。具體應用是通過VPN客戶端EZ-VPN，因為EZ-VPN是Cisco公司的VPN客戶端軟件，它允許用戶在不安全的網絡上建立VPN終端設備與客戶端之間的VPN通道，從而使得用戶能夠通過比如撥號等上網方式來安全的接入到校園網內部，接入后獲得校園網內部地址，這樣就可以訪問校內的共享資源。

校園網利用VPN實現的遠程OA和遠程網絡管理運行正常。實踐證明，VPN技術解決方案具有強勁的認證功能、有效的加密保障、安全的遠端存取、IP路徑選擇、防火墻等功能，能夠較好地應用于遠程訪問、企業網連接、外部網連接等。

［參考文獻］

［1］錢燕萍：《虛擬專用網的原理及應用》，《江蘇通信技術》1999年10月。

［2］聶敏：《虛擬專用網及實現途徑》，《西安郵電學院學報》1999年12月。

［3］黎靜、曾華：《虛擬專用網(VPN)》，《計算機應用》1999年10月。